Open Service Mesh- (OSM-) bővítmény az Azure Kubernetes Service-ben (AKS-ben)
Az Open Service Mesh (OSM) egy egyszerű, bővíthető, natív felhőbeli szolgáltatásháló, amely lehetővé teszi a rendkívül dinamikus mikroszolgáltatási környezetek egységes felügyeletét, védelmét és beépített megfigyelhetőségi funkcióinak használatát.
Az OSM egy Envoy-alapú vezérlősíkot futtat a Kubernetesen, és SMI API-kkal konfigurálható. Az OSM úgy működik, hogy egy envoy proxyt injektál oldalkocsi-tárolóként az alkalmazás minden egyes példányával. Az megbízott proxy szabályokat tartalmaz és hajt végre a hozzáférés-vezérlési szabályzatok körül, implementálja az útválasztási konfigurációt, és rögzíti a metrikákat. A vezérlősík folyamatosan konfigurálja a megbízott proxykat, hogy a szabályzatok és az útválasztási szabályok naprakészek legyenek, és a proxyk kifogástalan állapotban legyenek.
A Microsoft elindította az OSM-projektet, de most már a Cloud Native Computing Foundation (CNCF) szabályozza.
Megjegyzés:
Az Open Service Mesh (OSM) a Cloud Native Computing Foundation (CNCF) általi kivonásával javasoljuk, hogy azonosítsa az OSM-konfigurációkat, és migrálja őket egy egyenértékű Istio-konfigurációba. Az OSM-ről Az Istio-ba való migrálásról további információt az Open Service Mesh (OSM) konfigurációinak Áttelepítési útmutatója az Istio-ba című témakörben talál.
Az OSM-bővítmény engedélyezése
Az OSM hozzáadható az Azure Kubernetes Service(AKS) fürthöz az OSM-bővítmény Azure CLI vagy Bicep-sablon használatával történő engedélyezésével. Az OSM bővítmény az AKS-sel integrált OSM teljes körűen támogatott telepítését biztosítja.
Fontos
A fürt kubernetes-verziójától függően az OSM bővítmény az OSM egy másik verzióját telepíti.
| Kubernetes-verzió | Telepített OSM-verzió |
|---|---|
| 1.24.0 vagy újabb | 1.2.5 |
| 1.23.5 és 1.24.0 között | 1.1.3 |
| 1.23.5 alatt | 1.0.0 |
Előfordulhat, hogy az OSM régebbi verziói nem telepíthetők vagy aktívan támogatottak, ha a megfelelő AKS-verzió elérte az élettartamát. Az AKS Kubernetes kiadási naptárában tájékozódhat az AKS-verzió támogatási ablakáról.
Képességek és funkciók
Az OSM a következő képességeket és funkciókat biztosítja:
- A kölcsönös TLS (mTLS) engedélyezésével biztonságossá teheti a szolgáltatásközi kommunikációt.
- Alkalmazások előkészítése az OSM-hálóra az Envoy proxy automatikus oldalkocsi-injektálásának használatával.
- Transzparens módon konfigurálja a forgalom áthelyezését az üzemelő példányokon.
- Részletes hozzáférés-vezérlési szabályzatok definiálása és végrehajtása a szolgáltatásokhoz.
- Szolgáltatások monitorozása és hibakeresése az alkalmazásmetrikák megfigyelhetőségének és elemzéseinek használatával.
- A fürtben üzembe helyezett szolgáltatásvégpontok közötti kommunikáció titkosítása.
- Engedélyezze a HTTP-/HTTPS- és TCP-forgalom forgalomengedélyezési funkcióját.
- Súlyozott forgalomvezérlők konfigurálása két vagy több szolgáltatás között az A/B teszteléshez vagy a kanári üzemelő példányokhoz.
- KPI-k gyűjtése és megtekintése az alkalmazásforgalomból.
- Integrálás külső tanúsítványkezeléssel.
- Integrálható a meglévő bejövő megoldásokkal, például az NGINX-szel, a Kontúrral és az Alkalmazás-útválasztással.
További információ a bejövő forgalomról és az OSM-ről: Bejövő forgalom használata a fürt szolgáltatásaihoz való külső hozzáférés kezelése és az OSM integrálása a Contour használatával a bejövő forgalomhoz. Az OSM és a networking.k8s.io/v1 bejövőforgalom-vezérlők API-val való integrálására vonatkozó példa: Bejövő forgalom a Kubernetes Nginx bejövőforgalom-vezérlővel. Az OSM-sel automatikusan integrálható Alkalmazás-útválasztás használatával kapcsolatos további információkért tekintse meg az Alkalmazás útválasztása című témakört.
Korlátozások
Az OMS AKS-bővítményre az alábbi korlátozások vonatkoznak:
- A telepítés után engedélyeznie kell az Iptables átirányítást a port IP-címéhez és a porttartomány kizárásához a következő használatával
kubectl patch: . További információ: az iptables átirányítása. - Az IMDS-hez, Azure DNS-hez vagy a Kubernetes API-kiszolgálóhoz hozzáférést igénylő podok IP-címét hozzá kell adni a kizárt kimenő IP-címtartományok globális listájához a Globális kimenő IP-címtartomány-kizárások használatával.
- A bővítmény nem működik olyan AKS-fürtökön, amelyek Istio-alapú service mesh-bővítményt használnak az AKS-hez.
- Az OSM nem támogatja a Windows Server-tárolókat.
További lépések
Miután engedélyezte az OSM-bővítményt az Azure CLI vagy egy Bicep-sablon használatával, a következőt teheti: